企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと | ScanNetSecurity
2024.02.28(水)

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと

脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

研修・セミナー・カンファレンス セミナー・イベント
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏
Blackhat USA2019で、企業とバグバウンティについて語るAdam 'rudd' Ruddermann氏 全 6 枚 拡大写真
 脆弱性を発見した場合の処理、いわゆる脆弱性ハンドリングについては一定のルールが確立され、グローバルで標準化された枠組みがあるが、近年それと少し違った動きがある。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。

●企業に求められるバグハンターとの関係

 もともとは、善意のハッカーが企業に対して、製品やサービスのバグや脆弱性を指摘・報告する動きから始まったバグバウンティ。

 企業側が脆弱性ハンドリングの手順を踏んでいない通報を無視したり、真摯に対応しなかったりすることもある。2019 年夏には、研究者が発見したアシスタントロボットの脆弱性の指摘を受けたホテルが、対応を誤ったため、発見者によって脆弱性を SNS で公開される(当該脆弱性は対応済み)という事案があった。

 バグハンター、脆弱性ハンターの情報を正しく活用すれば、埋もれた脆弱性の発見と迅速な対応が可能になる。発見や検証作業、脆弱性の改修・対策のコストを下げることもできるとして、企業の評価は変わりつつある。

 とくにスタートアップ企業は、オープンソースの活用やソーシャルデバッグによる品質改善はむしろ普通であり、自前で脆弱性の発見対応および管理体制を作るより、報奨金・懸賞金で脆弱性を買ったほうが合理的という考え方が検討されている。

 しかし、企業が懸賞金や報奨金を出して脆弱性を購入するという行為は、日本の商習慣では馴染みが薄い。また、脆弱性の発見者がすべて善意のハッカーとは限らない。場合によっては、支払った懸賞金が、反社の資金源となる可能性もあり、コンプライアンス上の問題を指摘する声もある。

 企業のセキュリティ担当者や法務担当者は、脆弱性報告に報酬を払うべきか、脆弱性ハンターとどう向き合えばよいのだろうか。今夏開催された Blackhat USA 2019 の Briefings の注目セッション「 Planning a Bug Bounty The Nuts and Bolts from Concept to Lounch 」をベースに整理したい。

 なお、発表者のAdam 'rudd' Ruddermann 氏は、セキュリティコンサルティングを手掛ける NCC グループに所属。Bug Bounty Service Practice の部長を務める。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. 「UTM 理解していない」半数

    「UTM 理解していない」半数

  3. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  4. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  5. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  6. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  7. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  8. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  9. LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

    LINEヤフー委託先への不正アクセス、社外のサービスシステムについての調査結果を公表

  10. 東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

    東和エンジニアリングへのランサムウェア攻撃、VPN機器の脆弱性を悪用しブルートフォース攻撃でID・パスワードを不正に取得

ランキングをもっと見る